Resolver Problemas de SIEMFeeder

Se aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR

WatchGuard SIEMFeeder puede enviar datos de WatchGuard Endpoint Security a una plataforma SIEM. Antes de enviar los datos, SIEMFeeder los enriquece con inteligencia de seguridad. A continuación, SIEMFeeder crea un único flujo de datos para entregarlos a un servidor SIEM compatible. Los administradores pueden utilizar estos datos para ayudar a detectar amenazas desconocidas, ataques dirigidos y malware avanzado.

WatchGuard Event Importer es una aplicación que puede utilizar para descargar los datos que el servicio SIEMFeeder genera a partir de la actividad de los procesos informáticos en la red.

Para resolver problemas del servicio SIEMFeeder:

Configure su firewall para permitir URL de autenticación. Para más información, vea la sección Firewall Configuration (Configuración de Firewall) de Event Importer Requirements.
Asegúrese de que la computadora, la red y el servidor SIEM cumplan con estos requisitos.
Asegúrese de utilizar la versión más reciente de SIEMFeeder. Puede descargar el paquete de instalación desde la página de Descargas de Software en el sitio web de WatchGuard, en la sección Software de Endpoint.
Asegúrese de tener una licencia activa de SIEMFeeder. Debe tener tantas licencias activas para el servicio SIEMFeeder como para WatchGuard EDR o WatchGuard EPDR. Para más información, consulte SIEMFeeder Requirements.
Asegúrese de utilizar las credenciales correctas para configurar Event Importer. Para más información, consulte Configure WatchGuard Cloud API Settings.

Recolectar Datos

Puede editar el archivo configuration.json para recolectar registros que puede enviar al Soporte.

Para editar el archivo .JSON:

Detenga el servicio Event Importer.
Navegue hasta el directorio de instalación de Event Importer.
Utilice una aplicación de bloc de notas para abrir el archivo configuration.json.
Cambie el texto "TrazeLevel": "Error" a "TrazeLevel": "Information".

Guarde el archivo.
Inicie el servicio Event Importer y reproduzca el problema.

Recolecte estos datos y comuníquese con el Soporte:

Comprima y guarde la carpeta log situada en el directorio de instalación de Event Importer.
Haga una copia del archivo configuration.json que se encuentra en el directorio de instalación de Event Importer.
Anote su dirección de correo electrónico y las credenciales de Event Importer.
Haga una copia del archivo version.txt que se encuentra en el directorio de instalación de Event Importer.
Cree una captura de pantalla de la salida cuando ejecute estos comandos, que enumeran todos los puertos abiertos y las conexiones activas.
Abra una ventana de comandos con privilegios de administrador y escriba:
- netstat –ano | findstr "5671"
- netstat –ano | findstr "5672"

Si ejecuta más de una instancia de Event Importer simultáneamente, proporcione datos para cada instancia.

Después de recolectar estos datos, envíelos a Soporte. También puede revertir los cambios realizados en el archivo configuration.json.

Puede utilizar las herramientas de PSInfo para proporcionar registros de diagnóstico que ayuden al Soporte a resolver su problema. Para más información, vaya a Cómo comenzar con PSInfo.

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.